Implementare l'Enterprise Risk Management

La valutazione dei diversi tipi di rischio è spesso gestita con processi diversificati in parti separate dell'organizzazione. Per essere efficace, la funzione ERM deve comprendere i diversi livelli di rischio che hanno un impatto su tutte le aree dell'organizzazione e le tecniche utilizzate per ridurre il rischio. Il presente articolo illustra come implementare la gestione del rischio aziendale utilizzando le applicazioni Strategia e Progetti.

Questo articolo si basa sugli esempi illustrati in Identificare gli obiettivi e i rischi strategici.

Cosa significa implementare l'Enterprise Risk Management?

L'implementazione dell'Enterprise Risk Management è un processo continuo e in evoluzione che assicura che un'organizzazione sia consapevole dei rischi attuali ed emergenti che potrebbero alterare i risultati attesi e sia in grado di rispondere in modo proattivo a tali rischi.

L'implementazione dell'ERM prevede tre processi chiave:

  • La valutazione del rischio implica lo sviluppo di un insieme comune di criteri di valutazione che possono essere utilizzati in tutti i segmenti operativi, le entità o le unità di business e la determinazione dell'entità del rischio che un'organizzazione deve affrontare.
  • La prioritizzazione del rischio comporta il confronto del livello di rischio con livelli di rischio target e soglie di tolleranza prestabiliti.
  • La risposta al rischio comporta l'esame delle opzioni di risposta, l'esecuzione di analisi costi-benefici, la formulazione di strategie di risposta e lo sviluppo di piani di risposta al rischio.

Dove implementare l'Enterprise Risk Management?

Diligent utilizza le applicazioni Strategia e Progetti per valutare, dare priorità e rispondere ai rischi. Il programma ERM consente di allinearsi ai valori, alla visione e alla valutazione, di accelerare l'agenda di crescita nella capacità di go-to-market e nell'innovazione di prodotto e di garantire sempre la migliore esperienza ai clienti.

Visione d'insieme

  • I workshop del rischio possono essere utilizzati per valutare in modo collaborativo il rischio inerente a un'organizzazione e i risultati possono essere applicati al profilo del rischio dell'organizzazione.
  • Una volta completata la valutazione del rischio inerente, è possibile visualizzare il rischio utilizzando le Heatmap del rischio configurabili e definire i Trattamenti del rischio collegando gli Obiettivi (contenuti in Framework e Progetti) con i rischi strategici.

Una volta terminata la valutazione del rischio inerente e la valutazione preliminare del trattamento, è possibile valutare il rischio residuo e comprendere meglio le aree dell'organizzazione che destano maggiore preoccupazione.

Passaggi

Facciamo un tour?

Diamo un'occhiata più da vicino a queste funzioni nel loro contesto.

1. Valutare il rischio

La valutazione del rischio è un processo di enterprise risk management che consiste nel determinare l'entità del rischio che un'organizzazione deve affrontare. Molte organizzazioni iniziano innanzitutto con una valutazione qualitativa del rischio per poi sviluppare nel tempo funzionalità quantitative in linea con i propri requisiti decisionali.

Sviluppare criteri di valutazione del rischio

Il primo passo consiste nello sviluppare un insieme comune di criteri di valutazione che possa essere utilizzato da tutti i segmenti di operazione, le entità o le unità di business. In questo modo è possibile eseguire punteggi di rischio diversificati, valutare il rischio in base a più fattori e specificare un modello di valutazione del rischio da utilizzare per il framework di rischio specifico del settore.

Esempio

Scenario

Sei un professionista del rischio e devi valutare il rischio in modo logico all'interno della tua organizzazione. Dal momento che la tua organizzazione è alle prime armi con l'enterprise risk management, devi iniziare a valutare il rischio in termini di probabilità e impatto. Configurando il modo in cui vengono assegnati i punteggi ai rischi, è possibile modellare il framework dei rischi organizzativi e applicarlo a tutti i rischi identificati.

Processo

Argomento di aiuto Configurare le impostazioni del punteggio del rischio

Vai alla sezione Punteggio all'interno di Impostazioni in Strategia e sviluppi i seguenti criteri di valutazione del rischio:

  • Probabilità (scala a 3 punti: 1-bassa, 2-media, 3-alta)
  • Impatto (scala a 3 punti: 1-bassa, 2-media, 3-alta)

Inoltre, specifichi che il peso di ciascun fattore di punteggio del rischio è pari a 100% per riflettere l'uguale importanza dell'impatto e della probabilità.

Risultato

Tutti i rischi dell'organizzazione possono ora essere valutati in base alla probabilità e all'impatto, utilizzando una scala a 3 punti:

Valutare il rischio inerente

Il rischio inerente è un calcolo che deriva dalla valutazione di un rischio non trattato, ovvero il rischio naturale che un'organizzazione affronta se non sono stati messi in atto controlli o altri fattori di mitigazione. La valutazione del rischio inerente comporta l'associazione dei rischi agli obiettivi strategici definiti nella Mappa della strategia e la valutazione del rischio in tutti i segmenti operativi sulla base di molteplici fattori di punteggio del rischio. Una volta specificati i punteggi, Strategia calcola automaticamente il rischio inerente.

Consiglio

Per evitare di assegnare manualmente un punteggio ai rischi strategici, è possibile utilizzare i fattori di valutazione per automatizzare le diverse valutazioni del rischio. È possibile collegare una metrica creata nell'applicazione Risultati a una valutazione del rischio in Strategia, per contribuire alla valutazione stessa e inserire automaticamente i punteggi di rischio inerente in base a intervalli di metriche predefiniti. Le principali parti interessate possono essere informate quando si verificano modifiche alla valutazione del rischio.

Esempio

Scenario

Dopo aver stabilito i criteri di valutazione del rischio dell'organizzazione, puoi iniziare a valutare il rischio inerente, ovvero il rischio che esiste quando non sono stati messi in atto controlli o altri fattori di mitigazione. Per iniziare il processo, desideri valutare il rischio della formula Lattice, che si concentra sulla possibilità che la formula top secret possa accidentalmente passare nelle mani dei concorrenti. La tua organizzazione, Vandelay Industries, sarebbe certamente fuori dal mercato se ciò accadesse.

Processo

Argomento di aiuto Valutare il rischio inerente

Innanzitutto, apri la valutazione del rischio della formula Lattice e associ il rischio agli obiettivi strategici pertinenti che il rischio minaccia. Quindi, valuti il rischio in tutti i dipartimenti interessati in base alla probabilità e all'impatto.

  • Obiettivi strategici Strategia orientata all'innovazione, espansione internazionale, aumento del riconoscimento del marchio del 25% (marketing), crescita del fatturato a due cifre (vendite), mantenimento della leadership di categoria, >35% di Net Promoter Score
  • Dipartimenti Ricerca e sviluppo, Operazioni, Vendite, Marketing, Finanza/Legale, Risorse umane

Risultato

Hai completato la valutazione del rischio inerente per il rischio della formula Lattice:

Condurre workshop del rischio

I workshop del rischio forniscono un forum online per raccogliere ulteriori input e valutare il rischio in modo collaborativo con la dirigenza e i leader delle unità di business. I consulenti esterni che entrano in un'organizzazione possono utilizzare la funzione di workshop del rischio per gestire e integrare comodamente i contributi delle varie parti interessate. Ogni partecipante può assegnare un punteggio ai rischi e i punteggi vengono automaticamente calcolati e aggregati in un'unica valutazione del rischio che può essere applicata in una singola vista del profilo del rischio.

Consiglio

Per facilitare il successo di un workshop del rischio, è possibile fare alcune operazioni fondamentali:

  • Fornire definizioni chiare dei criteri di valutazione del rischio assicurarsi che le definizioni siano disponibili a tutti i partecipanti per fornire un approccio coerente alla valutazione del rischio. Il modo più semplice per farlo è fornire descrizioni significative dei fattori di valutazione del rischio e dei singoli punteggi. È possibile farlo durante la configurazione delle impostazioni del punteggio di rischio. I partecipanti al workshop del rischio avranno quindi accesso a queste definizioni mentre assegnano i punteggi ai rischi.
  • Scegliere i partecipanti appropriati scegliere persone di diversi dipartimenti che conoscono bene il business e possono fornire informazioni su specifiche operazioni di business
  • Limitare il numero di partecipanti la pratica migliore è quella di coinvolgere 10-25 partecipanti; se è necessario coinvolgere un numero elevato di partecipanti, inviare un sondaggio dall'applicazione Risultati è un metodo più efficiente

Esempio

Scenario

Desideri invitare le diverse parti interessate a collaborare al processo di valutazione del rischio, ma sfortunatamente non puoi riunire le principali parti interessate nella stessa stanza e nello stesso momento. Tutti i rischi di livello strategico identificati sono di competenza del Consiglio di amministrazione o della dirigenza, ma questi individui non hanno una conoscenza completa di come operano le singole parti del business. Occorre un metodo per raccogliere i contributi di più persone all'interno dell'azienda e gestirli comodamente in un'unica postazione centrale.

Processo

Argomento di aiuto Moderare i workshop del rischio

Innanzitutto, crei un workshop del rischio e aggiungi i rischi che i partecipanti al workshop valuteranno in un forum online collaborativo. Quindi, aggiungi i partecipanti interessati e invii il workshop del rischio a ciascun partecipante. Una volta che i partecipanti hanno terminato di assegnare un punteggio ai rischi, i punteggi vengono automaticamente calcolati in media e aggregati in un'unica valutazione del rischio, quindi decidi di applicare la valutazione del rischio aggregata al profilo del rischio dell'organizzazione.

Risultato

La valutazione del rischio inerente per tutti i rischi identificati nell'organizzazione è ora completa:

2. Dare priorità al rischio

La prioritizzazione del rischio è il processo di determinazione delle priorità di gestione del rischio confrontando il livello di rischio con livelli di rischio target e soglie di tolleranza prestabiliti. Il rischio può essere considerato non solo in termini di impatto finanziario e probabilità, ma anche sulla base di criteri soggettivi come l'impatto sulla salute e sulla sicurezza, l'impatto sulla reputazione, la vulnerabilità e la velocità di insorgenza.

Organizzare i rischi per condizione

È possibile organizzare i rischi assegnando ogni rischio a una condizione e definendo il suo stato attuale nel flusso di lavoro per la mitigazione del rischio. Ciascuna condizione viene visualizzata in una colonna separata all'interno del profilo del rischio. È possibile spostare i rischi da una condizione all'altra in base alla valutazione del rischio, alla tolleranza e alla propensione al rischio dell'organizzazione.

Esempio

Scenario

Ora che ogni rischio identificato è stato valutato in tutta l'organizzazione, desideri organizzare i rischi e assegnare loro stati diversi, o condizioni, in base al flusso di lavoro per la mitigazione del rischio dell'organizzazione.

Processo

Argomento di aiuto Assegnare un rischio a una condizione

Sposti i rischi da una condizione all'altra in base alla valutazione del rischio e alla tolleranza al rischio della tua organizzazione. Per alcuni rischi, specifichi una durata di tempo per accettare o trasferire il rischio. La definizione di un arco temporale consente di rivalutare facilmente alcuni rischi in un secondo momento.

Risultato

Il profilo del rischio è configurato come segue:

Visualizzare i rischi

La visualizzazione dei rischi aiuta a stabilire e comunicare una visione olistica dei rischi che interessano l'organizzazione. Le Heatmap del rischio sono spesso utilizzate per comunicare la probabilità e l'impatto potenziale dei rischi, in modo da poter prendere decisioni strategiche per la salute dell'organizzazione. La Heatmap della strategia può essere utilizzata anche per visualizzare l'aggregazione dei rischi nell'organizzazione e può contribuire a informare il processo decisionale su dove fornire risorse per mitigare i rischi prioritari.

Esempio

Scenario

Devi stabilire una priorità per i rischi, ma ti risulta difficile confrontare tutti i rischi dell'intera organizzazione. Riconosci che la visualizzazione del rischio non solo ti aiuterà a presentare i risultati di una valutazione del rischio, ma ti permetterà anche di decidere quali sono le aree dell'organizzazione che destano maggiore preoccupazione, in modo da poter conseguentemente distribuire le risorse più appropriate.

Processo

Argomento di aiuto Comprendere le heatmap del rischio

Apri la Heatmap del rischio predefinita per determinare quali rischi devono essere presi in considerazione come obiettivo principale. Le aree di maggiore preoccupazione sono rappresentate nel quadrante superiore destro della Heatmap del rischio, mentre le aree di minore preoccupazione sono rappresentate nel quadrante inferiore destro:

Risultato

Sulla base della Heatmap del rischio, sei in grado di determinare rapidamente i rischi più rilevanti per la tua organizzazione.

3. Rispondere al rischio

Una volta definita la priorità dei rischi, è il momento di definire i piani di risposta ai rischi e di valutare il rischio residuo. La funzione ERM deve essere ampliata dalle persone che occupano posizioni operative di prima linea e che sono più vicine ai rischi. Ciò può avvenire collegando i dati relativi ai rischi operativi e di controllo di Progetti ai rischi strategici presenti in Strategia. Questo approccio ibrido, dall'alto verso il basso e dal basso verso l'alto, offre l'opportunità di ottenere una copertura completa di tutti i rischi identificati nelle valutazioni annuali e di responsabilizzare le persone competenti all'interno dell'organizzazione.

Definire i trattamenti del rischio

Il trattamento del rischio è costituito dalle misure che un'organizzazione adotta per mitigare il rischio. Le misure possono includere iniziative, programmi, politiche od obiettivi di controllo, che possono essere creati in Progetti e collegati ai rischi strategici presenti in Strategia. Il collegamento aiuta a garantire una copertura completa di tutti i rischi operativi identificati durante le valutazioni annuali del rischio e consente di determinare il livello di mitigazione del rischio raggiunto dall'organizzazione.

Consiglio

A volte, la valutazione preliminare del trattamento può mostrare che si stanno investendo troppe risorse per mitigare un rischio (Trattamento% >= 100%). In questo caso, la valutazione del rischio mostra potenziali opportunità di ridurre la quantità di trattamento di un particolare rischio e di ridimensionare le risorse associate al trattamento del rischio.

Esempio

Scenario

Come risultato del processo di prioritizzazione dei rischi, si è individuato quello che preoccupa maggiormente l'organizzazione: il rischio legato alla formula Lattice. Con un rischio inerente del 70,3%, è chiaro che è necessario coordinare gli sforzi per garantire che il rischio sia mitigato in modo appropriato. Inizi a lavorare a stretto contatto con il team di assurance per definire i trattamenti volti a ridurre la probabilità e l'impatto del furto della formula Lattice.

Processo

Argomento di aiuto Definire i trattamenti del rischio

Il team di assurance crea un progetto Revisione della sicurezza della struttura Lattice nell'applicazione Progetti e definisce il seguente obiettivo:

Garantire la corretta manutenzione della sicurezza fisica all'esterno

In Strategia, apri il rischio della formula Lattice, vai alla scheda Trattamento e colleghi l'obiettivo creato di recente in Progetti al rischio della formula Lattice.

Risultato

Viene definita una relazione tra il rischio strategico in Strategia e l'obiettivo collegato in Progetti, consentendo di monitorare i risultati di assurance e testing e di valutare il rischio residuo.

Valutare il rischio residuo

Una volta valutato il rischio inerente e definito il modo in cui il rischio viene trattato, è possibile eseguire una valutazione preliminare del trattamento che valuta in che misura il trattamento riduce il rischio. Ciò consente di identificare le aree dove il business è esposto a rischi che superano la propensione al rischio dell'organizzazione. La valutazione del rischio residuo comporta l'indicazione di una percentuale di trattamento per definire in che misura il trattamento riduce il rischio inerente. La percentuale di trattamento si basa sull'efficacia prevista degli sforzi di trattamento in atto, prima che i controlli siano stati testati per fornire l'assurance.

Consiglio

Puoi specificare una percentuale compresa tra 0% e 100%. La percentuale di trattamento totale può superare il 100%. Tuttavia, un trattamento aggregato superiore al 100% può indicare che l'organizzazione può prendere in considerazione una revisione del trattamento del rischio e ridurre i costi associati al trattamento del rischio.

Esempio

Scenario

Ora che è stata definita la relazione tra il rischio della formula Lattice e l'obiettivo di sicurezza fisica, è necessario eseguire una valutazione preliminare del trattamento per valutare in che misura il trattamento riduce il rischio. La valutazione consente di identificare le aree dove il business è esposto a rischi che superano la propensione al rischio dell'organizzazione.

Processo

Argomento di aiuto Valutare il rischio residuo

Innanzitutto, specificare la percentuale di trattamento per definire in che misura il trattamento riduce il rischio inerente della formula Lattice. Basi la percentuale di trattamento sull'efficacia prevista degli sforzi di trattamento in atto, prima che i controlli siano stati testati per fornire l'assurance.

Risultato

Man mano che si inserisce ogni percentuale, la percentuale di trattamento per tutti i trattamenti associati a un segmento di operazione si aggiorna automaticamente. Anche i valori del Punteggio di rischio residuo e della Gravità del rischio residuo si aggiornano automaticamente. In base ai risultati della valutazione del rischio residuo, puoi scegliere di accettare o evitare il rischio.

Definire l'ambito e valutare i rischi e i controlli a livello di processo

Sulla base dei risultati della valutazione del rischio strategico, i team di assurance possono iniziare a pianificare e a definire l'ambito di rischi e controlli a livello micro o di processo e a centralizzare i workpaper e le comunicazioni nell'applicazione Progetti. Ogni impegno può essere pianificato con informazioni, obiettivi e un ambito che inquadrano il rapporto finale e, se necessario, è possibile allegare i file di pianificazione. Il team di assurance può quantificare i rischi utilizzando una scala numerica basata sul framework del rischio che l'organizzazione sceglie di seguire, valutare l'efficacia dei controlli e annotare eventuali issue, presentare dati quantificati per mostrare l'efficacia dei controlli chiave dell'organizzazione nel mitigare i rischi operativi previsti e assegnare risorse alle aree di maggior rischio.

Consiglio

È possibile integrare le prove dei test di controllo in Progetti per aggregare i dati delle transazioni al rischio strategico in Strategia e utilizzare i dati per sostenere le proprie raccomandazioni alla dirigenza e ai membri del consiglio di amministrazione.

Esempio

Scenario

Nell'ambito del trattamento del rischio della formula Lattice, devi assicurarti che il trattamento stia funzionando: devi cioè avere la certezza che il rischio della formula Lattice sia trattato in modo appropriato e che non si stiano sprecando risorse in procedure inefficaci che non stanno mitigando il rischio.

Processo

Argomento di aiuto Eseguire procedure e testare i controlli

Per determinare l'efficacia del trattamento, il team di assurance verifica ciascuna delle procedure elencate nell'obiettivo Garantire la corretta manutenzione della sicurezza fisica all'esterno:

  • 3-01 Le finestre devono essere costruite o coperte con materiali che proteggano dall'effrazione. Le finestre non costituite da questi materiali devono essere protette da un sistema di rilevamento delle intrusioni. Tale sistema allerta un servizio di risposta che interviene entro 15 minuti.
  • 3-02 Nei fine settimana, solo gli ingressi principali delle strutture (Sud 1 a Denver (DV1) e Sud 2 a Los Angeles (LA1)) devono consentire l'ingresso con la chiave elettronica.
  • 3-03 Il monitoraggio visivo deve essere mantenuto in ogni momento al di fuori dell'orario di lavoro.
  • 3-04 L'illuminazione deve essere di intensità sufficiente a consentire il rilevamento di attività non autorizzate.

Il team di assurance valuta inoltre ogni procedura al 25%, ossia la percentuale del rischio che la procedura mitiga è pari al 25%.

Risultato

Il team di assurance acquisisce ogni valutazione della procedura e identifica una issue come risultato dell'esecuzione della procedura 3-02.

Cosa succede dopo?

Imparare a fornire rapporti e monitorare i rischi

Utilizzando una combinazione delle applicazioni Strategia, Progetti e Risultati, è possibile monitorare i risultati di assurance e testing associati ai rischi strategici, integrare i dati per monitorare i rischi e generare una serie di rapporti da condividere con le principali parti interessate.

Per maggiori informazioni, consultare reporting e monitoraggio del rischio.

Iscriversi a un corso dell'Accademia

Continuare ad approfondire i concetti introdotti in questo articolo seguendo il percorso di apprendimento STRAT 100.

Accademia è il centro di risorse per la formazione online di Diligent. I corsi dell'Accademia sono inclusi senza costi aggiuntivi per tutti gli utenti con una sottoscrizione Diligent One. Per maggiori informazioni, consultare Accademia.